Noob Fragen zu IPv4 vs IPv6 (Server hosten, torrents)

[KrGn2]

Moin,

Ich beschäftige mich erst seit kurzen mit dem IP-Thema und finde es ganz interessant, jedoch komme ich mit ein paar Sachen einfach nicht weiter, daher habe ich ein paar Fragen.

Mein ISP und mein Router (FritzBox 7560) unterstützen IPv4 und IPv6. Die IPv4 ist leider hinter einem CGNAT (FritzBox zeigt IP: 100.64... / wieistmeineip.de zeigt IP: 93.181...).
Die Standardeinstellung von meinem Router ist IPv6 deaktiviert und weil es bis vor kurzen keinen Grund dazu gab, habe ich das auch nicht geändert.

Wenn ich das richtig verstehe funktioniert IPv4 bei mir ganz einfach gesagt bisher so:

Ein Server im Internet sendet Datenpakete an meine öffentliche IPv4 (CGNAT) -> Mein ISP weiß das ich diese Datenpakete angefordert habe und sendet sie an meinen Router (bzw. an meinen internen Port im CGNAT) -> Mein Router weiß welches Gerät die Datenpakete angefordert hat und sendet diese an das Gerät (bzw. an die lokale IP des Geräts).

1. Ist somit nicht IPv4 in meinem Fall privatsphärefreundlicher als IPv6 was surfen oder torrents angeht, denn der Server (oder peer) kennt ja nur die IP des CGNATs meines ISPs, wohingegen bei IPv6 der Server und alles dazwischen die individuelle IP meines Geräts kennen würde? Ist das ein guter Grund IPv6 deaktiviert zu lassen?

2. Ich habe mich mit dem ganzen nur beschäftigt weil ich einen kleinen Minecraft Server selber hosten wollte um ab und zu mal ne Runde mit Freunden zu spielen (lohnt sich nicht dafür extra einen Server zu mieten) und weil ich eventuell eine Nextcloud hosten wollte.
Schnell habe ich herausgefunden, dass das mit IPv4 für mich wegen dem CGNAT wohl nicht so einfach klappen wird.
Deshalb habe ich im Router IPv6 aktiviert und die entsprechenden Ports freigegeben jedoch hat auch das nicht geklappt, ich kann den Minecraft-Server zwar in meinem Netzwerk erreichen, jedoch nicht von einem externen IPv6 Netzwerk und auch Online-Portscanner finden bei meiner IPv6 keine offenen Ports oder finden noch nicht einmal meine IPv6.
Im Internet gibt es viele verständliche Guides und Videos zur Einrichtung von Minecraft-Servern oder Nextclouds mit IPv4 aber das wenige was ich zu IPv6 gefunden habe, war offentsichtlich zu unverständlich für mich.

3. Wenn man torrents für legale Sachen ohne VPN o.ä. nutzen möchte und man so wie ich nur IPv4 nutzt, verbindet man sich dann nur mit peers die auch IPv4 nutzen? (und das selbe mit IPv6) Was wenn IPv4 und IPv6 möglich sind, verbindet man sich dann gleichzeitig mit IPv4 und IPv6 peers? Wie funktioniert seeding bei IPv4 only wenn die IPv4 hinter einem CGNAT ist?

Vielleicht kann mir jemand bei der ein oder anderen Frage weiterhelfen oder etwas hilfreiches verlinken. Vielen Dank!

 

[Web-Schecki]

Ist somit nicht IPv4 in meinem Fall privatsphärefreundlicher als IPv6

CGNAT bietet sicherlich ein recht hohes Maß an Anonymität auf IP-Ebene. Da das im Mobilfunkbereich schon sehr lange eingesetzt wird, haben die Betreiber von Internetangeboten sehr viel zuverlässigere Methoden des Trackings etabliert - IP-Adressen spielen dort kaum eine Rolle.
Mit IPv6 und Privacy Extensions erreichst du in der Regel dasselbe Maß an Anonymität wie mit der früher üblichen Zuteilung von öffentlichen IPv4-Adressen an Router und NAT dahinter. Tracking würde nur über den Präfix möglich sein, und diesen teilst du dir mit den anderen Benutzern des Anschlusses und er ändert sich ab und an.

Deshalb habe ich im Router IPv6 aktiviert

Hat nun der entsprechende Rechner eine öffentliche IPv6-Adresse? Privacy-Extensions sind hier nicht hilfreich, weil sich die IPv6-Adresse dann ständig ändert. Deshalb sind Serverdienste auf Desktop-PCs bei IPv6 so eine Sache...

Wenn man torrents für legale Sachen ohne VPN o.ä. nutzen möchte und man so wie ich nur IPv4 nutzt, verbindet man sich dann nur mit peers die auch IPv4 nutzen? (und das selbe mit IPv6)

Davon würde ich ausgehen.
Und ja, hinter CGNAT kannst du keine Ports öffnen, wenn das fürs seeding nötig ist, dann wird das nichts über IPv4.

 

[rony12]

Wenn due IPv6 bei deinem Router aktivierst - und ggf. neustartest. Was erzählt er dir denn zu der dir zugewiesenen IPv6 - also welche hast du? (also nicht genau schreiben, aber du musst ja eine haben)
Wenn der Router richtig konfiguriert ist, sollten auch deine Endgeräte kurzdarauf IPv6 Adressen erhalten, welche nicht FE80 sind.

Ich habe sowohl IPv4 und IPv6 - und ich kann meine NAS über das internet erreichen, habe auf die IP der NAS sogar eine Domain geschaltet - funktioniert super.

IPv6 hat eine privacy extension - diese muss aber häufig noch in den Router aktiviert werden - https://www.elektronik-kompendium.de/sites/net/1601271.htm

 

[foo_1337]

1. Ist somit nicht IPv4 in meinem Fall privatsphärefreundlicher als IPv6 was surfen oder torrents angeht, denn der Server (oder peer) kennt ja nur die IP des CGNATs meines ISPs

Falls du glaubst, dass du dadurch vor etwaigen Abmahnungen geschützt bleibst: Nope. Klar sieht der Peer nur deine CGNAT IP Adresse, aber der wendet sich eh an deinen ISP. Und der protokolliert eben auf seinem AFTR entsprechend mit und kann deinen Anschluss zuordnen. Alles was dazu benötigt wird, ist der Source Port der Anfrage.

Ergänzung (8. Oktober 2021)

IPv6 hat eine privacy extension - diese muss aber häufig noch in den Router aktiviert werden - https://www.elektronik-kompendium.de/sites/net/1601271.htm

Die Privacy Extensions werden vom Client genutzt und konfiguriert. Wenn man dies verhinden will, müsste man beim Router SLAAC deaktivieren bzw. verhindern, dass er einen Prefix verteilt und auf DHCPv6 ausweichen.

 

[chrigu]

1. deine Privatsphäre wird weder gefördert, noch verhindert.
2. natürlich muss minecraft laufen, sonst bleibt die Türe zu.
3. das spielt keine Rolle

 

[KrGn2]

Hat nun der entsprechende Rechner eine öffentliche IPv6-Adresse?

Davon ging ich aus. Es wird mir zumindest eine angezeigt. Dachte IPv6 wäre seit Windows Vista kein Problem mehr. Eine Firewall o.ä. (außer Windows Defender) habe ich nicht auf dem PC.

Was erzählt er dir denn zu der dir zugewiesenen IPv6 - also welche hast du? (also nicht genau schreiben, aber du musst ja eine haben)
Wenn der Router richtig konfiguriert ist, sollten auch deine Endgeräte kurzdarauf IPv6 Adressen erhalten, welche nicht FE80 sind.

FE80 kommt zwar nicht in den geschwärzten Teilen der Adresse vor, jedoch fängt die lokale IPv6 mit FE80 an (siehe Bilder)

Falls du glaubst, dass du dadurch vor etwaigen Abmahnungen geschützt bleibst: Nope. Klar sieht der Peer nur deine CGNAT IP Adresse, aber der wendet sich eh an deinen ISP. Und der protokolliert eben auf seinem AFTR entsprechend mit und kann deinen Anschluss zuordnen. Alles was dazu benötigt wird, ist der Source Port der Anfrage.

Ich weiß man sollte keine illegalen Sachen über torrents (ohne VPN) austauschen. Scheint nur etwas einfacher jemanden mit der IPv6 zu verfolgen oder zu identifizieren (wenn man keine Behörde ist), auch wenn das meiste Tracking wohl heute eh nicht mehr über die IP läuft.

 

[Web-Schecki]

Okay, das sieht eigentlich ganz gut aus, mit der öffentlichen IPv6 solltest du eigentlich auf den Rechner kommen. Das heißt vermutlich, dass bei der Portfreigabe etwas schief gelaufen ist. Ich hab das allerdings auch noch nie für eine Maschine mit Privacy Extension gemacht, daher kann es wie gesagt sein, dass da Probleme auftauchen, von denen ich nichts weiß. Überprüfe auf jeden Fall, ob nicht fälschlicherweise die temporäre IPv6 freigegeben wurde.

Ich weiß man sollte keine illegalen Sachen über torrents (ohne VPN) austauschen.

Man sollte auch keine illegalen Sachen mit VPN austauschen. Genau wie CGNAT dich nicht vor einer Zuordnung schützt, schützt dich auch ein VPN nicht davor. Du kannst nur hoffen, dass der Anbieter sein Versprechen hält, Verbindungsdaten nicht zu loggen und mit Behörden (falls rechtlich durch entsprechenden Firmensitz möglich) nicht zusammenzuarbeiten, aber es gibt keine technische Garantie dafür. Ich würde mich nicht darauf verlassen...

Scheint nur etwas einfacher jemanden mit der IPv6 zu verfolgen oder zu identifizieren (wenn man keine Behörde ist), auch wenn das meiste Tracking wohl heute eh nicht mehr über die IP läuft.

Wie gesagt, bei aktivierter Privacy-Extension ist das in etwa genauso leicht oder schwer wie bei IPv4 früher. Du kannst deine FritzBox auch anweisen, sich jede Nacht neu zu verbinden. Je nach Anbieter solltest du dann ein neues Präfix bekommen. Dann hast du de facto den gleichen Standard wie früher über IPv4 bei nächtlicher Zwangstrennung, wie es bei den meisten DSL-Anschlüssen üblich war. Ansonsten ändert sich das Präfix halt alle paar Wochen, was vollkommen ausreicht...

 

[KrGn2]

Ich hab jetzt noch mal etwas rumprobiert und die Freigaben noch mal neu angelegt.
Die von der FritzBox ausgefüllte IPv4 passt zu dem was in der ipconfig steht, aber die von der Fritzbox ausgefüllte IPv6 Interface-ID finde ich in der ipconfig nicht wieder.

Auch die "IP-Adresse im Internet" die mir die Fritzbox anzeigt, stimmt nur teilweise mit der IP aus der ipconfig überein.

Ich habe es nochmal mit dem Portscanner versucht, weder mit der "IP-Adresse im Internet" aus der FritzBox, noch mit den IPv6 Adressen aus der ipconfig werden mir offene Ports angezeigt.
Der Server läuft natürlich währenddessen. Sind die Einstellungen sonst ok?

 

[foo_1337]

Lauscht der Server via v6? Es geht um Minecraft, vermute ich? Hast du eine server-ip im properties file gesetzt? Wenn ja, sollte das leer sein, damit er auf allen interfaces lauscht, zumal sich die v6 ip ja auch immer mal ändern wird. Prüfe mal mit netstat -anb, auf welchen Interfaces der Minecraft Server lauscht.
Das Debugging der Fritzbox /ipconfig screenshots gestaltet sich als eher schwierig, wenn da so viel geschwärzt ist Einfacher wäre es, das letzte Feld der IPv6 Adresse ungeschwärzt zu lassen

 

[Web-Schecki]

Normalerweise sollten die letzten 4 Blöcke von Interface-ID und angezeigter IPv6-Adresse gleich sein und diese sollte auch der IPv6-Adresse entsprechen, die du auf dem Gerät herausgefunden hast.
Vielleicht gibt es Probleme wegen der aktivierten Privacy-Extension und er benutzt die temporäre IPv6-Adresse, die sich ständig ändert, vielleicht kann man diese Probleme irgendwie umgehen - ich weiß es leider nicht genau.

 

[KrGn2]

hast du eine server-ip im properties file gesetzt?

Nein die habe ich leer gelassen.

Das Debugging der Fritzbox /ipconfig screenshots gestaltet sich als eher schwierig, wenn da so viel geschwärzt ist Einfacher wäre es, das letzte Feld der IPv6 Adresse ungeschwärzt zu lassen

Hab nochmal neue Screenshots mit anderer Schwärzung angehängt.

Prüfe mal mit netstat -anb, auf welchen Interfaces der Minecraft Server lauscht.

Habe ich, finde zwei mal java.exe auf Port 25565 mit TCP. Habe aber mal die komplette Ausgabe von netstat -anb als .txt angehängt

 

[foo_1337]

Ok, Windows seitig sieht schonmal alles gut aus. Komisch, dass die Fritzbox die völlig falsche v6 Interface ID hat. Vielleicht war das mal eine temporäre, die inzwischen gewechselt hat. Du kannst ja oben die Interface ID anpassen. Ändere die am besten auf die konstante v6 Adresse des Windows Rechners, also die mit der e7 hinten. Dann sollte es klappen.

 

[KrGn2]

Habe ich gemacht und jetzt sagt der Portscanner auch das der Port offen ist . Werde morgen mal von einem anderen Netzwerk aus probieren ob ich mich verbinden kann. Nur noch mal zum Verständnis:

Bleibt die IPv6, die ich jetzt bei "IPv6 Interface-ID" und auch für den Portscanner genutzt habe immer gleich oder ändert die sich ab und zu? Wenn ja muss ich die "IPv6 Interface-ID" dann wieder ändern?

Würde die FritzBox die "IPv6 Interface-ID" in den Einstellungen auch automatisch ändern wenn ich dort nun die temporäre IPv6 des PCs eintragen würde?
Jedenfalls Danke für die Hilfe, wäre da alleine nicht weiter gekommen.

 

[foo_1337]

Bleibt die IPv6, die ich jetzt bei "IPv6 Interface-ID" und auch für den Portscanner genutzt habe immer gleich oder ändert die sich ab und zu? Wenn ja muss ich die "IPv6 Interface-ID" dann wieder ändern?n.

Also wenn du ein neues v6 Prefix von deinem Provider bekommst, ändert sich der vorderte Teil, aber der hintere Teil bleibt gleich. Daher solltest du hier nichts mehr ändern müssen. Diejenigen, die jedoch auf deinen Server connecten, müssen das dann anpassen oder besser einen dyndns Namen nehmen.

Würde die FritzBox die "IPv6 Interface-ID" in den Einstellungen auch automatisch ändern wenn ich dort nun die temporäre IPv6 des PCs eintragen würde?

Ne, da würdest du dann wieder das gleiche Problem wie jetzt haben. Ist aber eigentlich auch nicht schlimm, da du diese IP ja nur vertrauenswürdigen Personen gibst, oder?

 

[KrGn2]

Also wenn du ein neues v6 Prefix von deinem Provider bekommst, ändert sich der vorderte Teil, aber der hintere Teil bleibt gleich. Daher solltest du hier nichts mehr ändern müssen. Diejenigen, die jedoch auf deinen Server connecten, müssen das dann anpassen oder besser einen dyndns Namen nehmen.

Genau so hatte ich mir das gedacht, aber um nur mal so ab und zu zu spielen reicht mir das. Der neue Prefix ist ja schnell mitgeteilt. Wenn ich mir mal eine Nextcloud o.ä. einrichten sollte, würde ich mich natürlich um DynDNS kümmern

da du diese IP ja nur vertrauenswürdigen Personen gibst, oder?

Ja, ist wie gesagt für nur mal abends eine Runde mit Freunden.